Люту історію я щойно прочитав — хакери хакнули AWS JavaScript SDK, яка використовується в AWS Console (це адмінка AWS) 😱

Забрали собі їх репо на гітхабі, витягнули ключі, і взагалі отримали повний контроль.

Зона ураження — 66% клауда контролюється цією адмінкою, і це була б прямо біда-біда, якби хакери були злими. А так вони виявились добрими, все розказали AWS і дірку прикрили.

А шо за дірка? В двох словах, це недороблений regex, за допомогою якого визначалось, чи можна запускати білд для PR чи ні. AWS використовував фільтр ACTOR_ID для захисту від недовірених PR
Regex шаблон не мав анкерів (^ та $): 12345|67890|.... Це означало збіг підрядка, а не точний збіг (GitHub ID 226755743 містить всередині довірений ID `2267557`)

Чуваки порахували, шо десь раз в пʼять днів для нового користувача github ID буде містити потрібний шматочок. Згенерували купу ботів, які нагенерували реєстрацій, і отримали потрібний ID.

З ним зробили пулріквест, який запустився CodeBuild, а там вже з памʼяті процесу дістали всі токени і отримали доступ над репозиторієм.

Така ось казочка на ніч, деталі можна почитати тут